Introduction
Ce document décrit la fonctionnalité qui améliore l'expérience utilisateur et permet la suppression de certificat à l'échelle du cluster.
Conditions préalables
Conditions requises
Cisco vous recommande de connaître Cisco Unified Communication Manager (CUCM) version 11.0 et ultérieure.
Components Used
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Informations générales
Il existe certains certificats sur CUCM et IM&P qui sont répliqués de manière transparente (à l’insu de l’administrateur). Cela signifie que si un certificat est téléchargé par l'administrateur sur un serveur, il est transmis aux autres serveurs du cluster. Ceci est fait pour prendre en charge la fonctionnalité Extension Mobility Cross Cluster (EMCC).
Auparavant, dans un cluster gigantesque s'il était nécessaire de supprimer un certificat non requis, l'administrateur devait se connecter à chacun des serveurs et supprimer le certificat manuellement. En outre, si cela n'est pas fait dans une fenêtre spécifiée, le certificat supprimé peut réapparaître en raison du service CertSync qui s'exécute toutes les 30 minutes, ce qui garantit que le système de fichiers et les tables de certificats sont synchronisés. Pour éviter ce problème, les clients désactivent aujourd'hui le service CertSync sur tous les noeuds, suivi de la suppression de certificat sur tous les noeuds. Cela rend l'expérience utilisateur très mauvaise.
Avec la nouvelle amélioration de la fonctionnalité, de telles instances ne se produiront pas.
Cette amélioration de la gestion des certificats vous permet de supprimer automatiquement un certificat de tous les noeuds du cluster.
Lorsqu'un certificat est supprimé d'un noeud du cluster, il est supprimé de tous les autres noeuds du cluster.
Configuration
Sur Cisco Call Manager, accédez à Cisco Unified OS Administration > Sous Security > Certificate Management.
Sélectionnez le certificat à supprimer. Vous verrez ceci :

Une fois que vous avez cliqué sur OK, ces étapes se dérouleront comme suit :
1. Le certificat sera supprimé localement sur le serveur.
2. Si le certificat est supprimé avec succès, l'événement de plateforme est déclenché. Cet événement de plate-forme sera envoyé à tous les serveurs de la grappe (CUCM et IM&P). Les informations présentes dans l'événement de plateforme sont le type d'unité (CallManager, Tomcat ou Phone-SAST) ainsi que le nom du certificat (par exemple, RootCA.pem). L'événement de plate-forme nous permet de déclencher l'événement de suppression à l'échelle du cluster.
L'opération de suppression de certificat ne s'applique qu'aux certificats suivants :
CUCM
1. tomcat-trust
2. CallManager-trust
3. phone-sast-trust
Messagerie instantanée et présence CUCM
1. tomcat-trust
Vérification
Aucune procédure de vérification n'est disponible pour cette configuration.
Dépannage
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Si les certificats des autres noeuds du cluster ne sont pas supprimés, collectez ces journaux à partir de RTMT, pour résoudre ce problème.
1. Event Viewer-Application Log (journal d’événements pour l’application)
2. Event Viewer-System Log (journal d’événements pour le système)
3. Journaux CertMgr de la plate-forme IPT

Exemple de message :
6 juillet 03:12:05 CM11 utilisateur 6 ilog_impl : Demande reçue pour platform-event (—no-wait platform-event-clusterwide-certificate-delete HOSTNAME=CM11Sub UNIT=tomcat-trust Type=certs-trust NAME=testcert.pem).
Ce journal indique qu'un événement a été reçu par les autres noeuds du cluster pour supprimer le certificat de test de certificat, lorsque le certificat est supprimé sur un noeud.
Dans les journaux certMgmt de l'opération de suppression :
Ce journal indique que cert Mgmt a reçu la demande de suppression du certificat certificate.pem dans tomcat_trust :
decode : true
op : supprimer
unité : tomcat-trust
keystoreUnit:tomcat-trust
logFile : /var/log/active/platform/log/cert-mgmt.log
resultFile : /var/log/active/platform/log/certde-info.xml
keyDir : /usr/local/cm/.security/tomcat/keys
certDir : /usr/local/cm/.security/tomcat/trust-certs/Certificate.pem
Ce journal indique que les certificats sont supprimés de la base de données :
2016-07-06 01:31:55,374 INFO [main] - IN — CertDBAction.java - deleteCertificateInDB(certInfo) -